إضافة جوجل كروم لتداول العملات الرقمية تستهدف مستخدمي سولانا

يستخدم المهاجمون إضافة خبيثة لجوجل كروم متنكرا كأداة لتسهيل التداول لسرقة أجزاء صغيرة من SOL من جيوب مستخدمي سولانا غير المتوقعين.

وفقا لأبحاث أجرتها شركة الأمن السيبراني Socket، فإن إضافة كروم لا تزال موجودة حاليا على متجر كروم الإلكتروني تحت اسم "Crypto Copilot".

يتم تسويقه كمعزز للإنتاجية يتيح للمستخدمين تنفيذ صفقات سولانا مباشرة من موجز X الخاص بهم.

يحصل الامتداد حاليا على تقييم نجمة واحدة و18 تحميلا فقط حتى وقت النشر، لكنه أصبح متاحا منذ 18 يونيو 2024.

كيف تستهدف Crypto Copilot مستخدمي سولانا؟

للوهلة الأولى، تستفي Crypto Copilot بجميع متطلبات أداة شرعية، حيث تدمج واجهات برمجة التطبيقات الخاصة بأطراف ثالثة مثل DexScreener لبيانات الأسعار، وHelius للوصول إلى بنية Solana التحتية، وPhantom أو Solflare لاتصالات المحفظة. 

هذه الميزات تجعلها تبدو وتعمل كواجهة تداول لامركزية حقيقية، بينما تسحب بهدوء رسوما مخفية في الخلفية.

"لا توجد أي من هذه الخدمات خبيثة بحد ذاتها، لكنها معا تخلق واجهة مقنعة حول المشكلة الأساسية: كل تبادل يتضمن نقل SOL غير معلن إلى محفظة شخصية مشفرة صلبة"، كتب سوكت.

لتنفيذ الصفقات، يستخدم رايديوم، وهو بورصة لامركزية على سولانا تتيح للمستخدمين تبادل الرموز.

لكن خلف الكواليس، يضيف تعليمات إضافية تنقل جزءا صغيرا من المعاملة إلى محفظة المهاجم.

على السطح، يرى المستخدم فقط تفاصيل التبديل المتوقعة.

تلخص شاشات تأكيد المحفظة المعاملة ببساطة دون ظهور تعليمات فردية، دون إعطاء أي مؤشر واضح على تنفيذ إجراءين معا.

عند تنفيذ الصفقات، يطلب من المستخدمين الموافقة على المعاملة مرة واحدة فقط، مع تنفيذ التعليمات الشرعية والخبيثة معا كعملية ذرية واحدة.

أظهر تحليل السلسلة الذي أجرته Socket عددا محدودا فقط من التحويلات إلى محفظة المهاجم حتى الآن، ويرجع الفريق ذلك إلى أن الإضافة إما لم تروج على نطاق واسع أو لا تزال في المراحل الأولى من التوزيع.

ومع ذلك، تم بناء الامتداد ليتوسع بكفاءة، مع تحذير من أن الضرر المحتمل يزداد مع حجم وتكرار التبادلات.

"المستخدمون الذين لديهم حصص أكبر أو نشاط تداول عالي الحجم قد يتكبدون خسائر أكبر بكثير إذا اعتمدوا دون علمهم على هذا التمديد للمبادلات الروتينية. مع مرور الوقت، يجمع المهاجم SOL مباشرة داخل محفظته الشخصية، مما يحول الإضافة إلى آلية دخل متكررة بدلا من واجهة DEX شرعية،" أضاف سوكت.

حثت Socket المستخدمين على مراجعة كل تعليمات معاملة قبل التوقيع، خاصة في Solana، حيث لا يمكن اكتشاف مثل هذا السلوك الخبيث إلا إذا قام المستخدم بتوسيع وفحص كل تعليمة يدويا.

يجب على من قاموا بالفعل بتثبيت Crypto Copilot نقل أموالهم إلى محفظة نظيفة وإلغاء جميع المواقع التي كانت متصلة سابقا فورا.

تستمر الظهور ملحقات كروم الخبيثة

Crypto Copilot هو واحد فقط من العديد من الإضافات الخادعة لكروم التي ظهرت على متجر كروم الإلكتروني.

منذ بداية العام الماضي، ارتفع عدد الهجمات باستخدام امتدادات خبيثة، حيث تمكن بعضها من جمع ملايين من الأموال المسروقة.

في العام الماضي، أبلغت Invezz عن إضافة Bull Checker، وهي إضافة وهمية أخرى استهدفت مستخدمي سولانا من خلال التنكر كأداة ميمكوين.

في الواقع، اختطفت المعاملات لإعادة توجيه أموال المستخدم إلى محفظة يسيطر عليها المهاجمون.

وفي الوقت نفسه، في أغسطس الماضي، كشف باحثون في شركة Koi Security أن مجموعة تعرف باسم GreedyBear قد سرقت أكثر من مليون دولار من العملات الرقمية باستخدام إضافات متصفحات خبيثة وبرمجيات خبيثة ومواقع احتيال في عملية منسقة تمتد عبر عدة مسارات هجوم.